Políticas de privacidad

Política Anexo I

Seguridad y Privacidad

DESCRIPCIÓN DE LA POLÍTICA

1. PROTECCIÓN, CIFRADO DE TRANSACCIONES Y MANTENCIÓN DE DATOS

1.1.- Los respaldos de la base de datos, tanto física como lógica, son gestionados por Heroku, nuestra plataforma en donde está montado el software. Asegurando respaldos de la BD en distintas localidades y creando backups lógicos frecuentemente de la BD.
1.2.- Nadie que no sea registrado como usuario de una compañía puede acceder a los datos y contenido creado por esta. A excepción del soporte de INNK.
1.3.- Los datos y contenido creado en una compañía no serán accesibles ni visibles para otras compañías que utilicen el software. 1
1.4.- INNK utiliza el protocolo HTTPS mediante un certificado SSL y un comodín al dominio de la institución (por ejemplo: institución.INNK.cl). Este protocolo cifra toda transmisión de datos garantizando que toda la información vertida en la plataforma no pueda ser consultada por agentes ajenos a ella.
1.5.- INNK cuenta con la extensión de seguridad DNSSEC que garantiza que el dominio no pueda ser utilizado por terceros, para evitar el riesgo de phishing (suplantación de identidad). 1.6.- Se utiliza un sistema de encriptación de contraseñas basado en el algoritmo Blowfish que dificulta intentos de robo de información de las cuentas

2. PRUEBAS DE SOFTWARE

2.1.- Un equipo especializado realiza regularmente pruebas en representación de los usuarios finales. El área de desarrollo de sistemas de INNK deberá entregar el software desarrollado con códigos fuentes al área responsable de ejecutar las pruebas, el cual es revisado para encontrar códigos mal intencionado y debilidades de seguridad, para luego ser compilado e iniciar las pruebas correspondientes.
2.2.- Los tipos de pruebas se planifican para garantizar la integridad de la información en producción. Además, estos procedimientos se realizan en un ambiente de pruebas, separado al ambiente de producción. Este sandbox es lo más idéntico, en su configuración, al ambiente real de producción.

3. MANTENIMIENTO DEL SOFTWARE

3.1.- Heroku está constantemente monitoreando el rendimiento del sistema. Si llegan a ocurrir problemas de tiempos de respuesta o fallas del sistema, entre otras cosas, Heroku avisa por medio de un correo al administrador de INNK para tomar las acciones necesarias.
3.2.- Aparte del monitoreo de Heroku, el soporte de INNK también realiza monitoreos constantes, mejoras continuas y correcciones al software respectivamente.

4. PROPIEDAD INTELECTUAL Y ADMINISTRACIÓN DE DATOS

4.1.- Todos los derechos de propiedad intelectual de los datos y contenido creado por el cliente, son de propiedad exclusiva del cliente.
4.2.- El cliente puede solicitar el borrado de los datos en cualquier momento si lo estima conveniente. Una vez solicitado esto, el equipo de soporte de INNK se encargará de evaluar el tiempo necesario y, una vez informado, procederá al borrado de datos.
4.3.- Cualquier tipo de información interna del cliente no puede ser vendida, transferida o intercambiada con terceros para ningún propósito diferente al del servicio contratado y se cumplirá con los procedimientos de autorización internos para los casos en que se requiera.

5. POLÍTICA DE RECUPERACIÓN DE DESASTRES (DRP)

5.1.- Como INNK es un software que está en la nube y sus componentes críticos están montados en Heroku, INNK se cobija en las políticas de recuperación de desastres que posee Heroku. El cual, se encarga de mantener más de un equipo físico encargado de gestionar el servidor de INNK, su base de datos y otros componentes de INNK.
5.2.- En caso de fallar cualquier componente montado en Heroku por un desastre, el servicio se mantendría ininterrumpido y el componente sería reasignado para ser gestionado por otro equipo de Heroku. Esta es una de las razones por la cual no podemos entregar especificaciones de la IP o ubicación física de los equipos que se encargan de gestionar los componentes de INNK, ya que Heorku los maneja dinámicamente.
5.3.- Los encargados de monitorear y asistir en este tipo de casos son el director de INNK Francisco Martinez ([email protected]) y el líder de desarrollo Matías Salgado ([email protected]).
5.4.- En relación al RPO de INNK. Nuestro servidor ofrece la recuperación directa de los datos con un intervalo de hasta 7 días atrás desde el momento de solicitar la recuperación. También, se realizan backups de la base de datos diariamente.
5.5.- INNK asegura que el uptime es de un 99.9%. El RTO que se tolera para los problemas de uptime que tenga el software está especificado en los tiempos de resolución de problemas planteados en las políticas para procedimiento de soporte e incidencias informáticas de INNK, considerandose de severidad alta.

6. RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA

6.1.- Junto a todos los cifrados de transacción y protección de datos establecidos en el punto 6.1, INNK también cuenta con protección con Web Application Firewall, protección preventiva para ataques DDoS y herramientas de monitoreo de servidores.
6.2.- En el caso de sospecha de un ataque informático se le otorgará alta prioridad y se realizarán todos los esfuerzos para identificar el ataque monitoreando y revisando el servidor y reportes del firewall. De confirmarse éste, se enviará un reporte avisando rápidamente a los clientes que el sistema se encuentra bajo ataque y se tomarán todas las medidas para aumentar las defensas del firewall y recursos del servidor Luego, se analizará toda la información disponible relacionada al incidente para poder identificar qué sistemas, redes y datos han sido comprometidos.
6.3.- En caso de que se haya encontrado alguna brecha de seguridad en el software por la cual ocurrió el incidente, se procederá a la identificación y corrección de ésta, junto con un inicio de procedimiento de pruebas y ethical hacking para validar que no vuelva a ocurrir un incidente por ese medio.
6.4.- En caso de que se haya perdido algún dato, se utilizará el respaldo diario que realiza Heroku para restituir en lo posible los datos perdidos.
6.5.- Una vez determinado el alcance del incidente se enviará un segundo reporte a nuestros clientes para que estén informados. El plazo de este reporte depende del tiempo que tome determinar el alcance del ataque.
6.6.- Se realizarán todos los esfuerzos y herramientas posibles para identificar el o los autores del incidente para reportar a las autoridades correspondientes.
6.7.- Los reportes enviados a nuestros clientes serán por medio un correo electrónico en el que se indique lo sucedido y de ser necesario se adjuntarán archivos con datos necesarios asociados al reporte.

 

Política Anexo II

Seguridad de la información

DESCRIPCIÓN DE LA POLÍTICA

INNK ha decidido implementar un Sistema de Gestión de la Seguridad de la Información (SGSI), por lo cual se compromete a cumplir con los requisitos legales y los aplicables a la norma ISO 27001:2013, con el fin de conseguir la mejora continua del sistema de gestión de seguridad de la información.

Las políticas de seguridad descansan siempre en el establecimiento de responsabilidades por parte de las personas que manejan y procesan datos e información. Cualquier incidente en materia de seguridad de la información puede ocasionar perjuicios económicos a la Compañía de diversa consideración. Es por ello, que las personas relacionadas de cualquier forma con los procesos de información deben ser conscientes y asumir que la seguridad es asunto de todos y, por tanto deben conocer y respetar las normas de INNK en este aspecto.

Como parte de las exigencias en materia de seguridad de la información, es fundamental que todos los colaboradores conozcan sus responsabilidades con precisión. Todo colaborador es responsable de cumplir las políticas, estándares, directrices y procedimientos que, en materia de seguridad de la información, estén vigentes en cada momento, así como también notificar a su nivel jerárquico superior o al responsable de seguridad ante una excepción de alguna norma particular y de las causas que lo motivan.

Igualmente, esta exigencia se aplicará a terceras personas que tengan acceso o que procesen información de INNK.

La información confidencial y la propia del negocio no pueden ser difundidas fuera del ámbito en que ésta debe ser tratada.

Lo anterior se sustenta en el cumplimiento de los siguientes compromisos del Sistema de Gestión de Seguridad de la Información y sus respectivos objetivos, por parte de INNK:
Mejorar continuamente la efectividad del Sistema de Gestión de Seguridad de la Información (SGSI).
Implementar planes de acción para incidentes de seguridad de la información y no conformidades que resuelvan de raíz los problemas identificados.
Cumplir con los requisitos legales y los aplicables a la seguridad de la información, según lo establecido en la norma ISO 27001:2013
Mantener igual o sobre 60 el valor del NPS (Net Promoter Score) en el indicador relativo a Seguridad de la Información (confidencialidad, disponibilidad e integridad) de la evaluación realizada a nuestros clientes.
Mantener vigente el Sistema de Gestión de la Seguridad de la Información implementado por la norma ISO 27001:2013.
Proteger la confidencialidad de la información sensible relacionada con la empresa y sus clientes.
Implementar planes de acción para tratamiento de incidentes de seguridad de la información y no conformidades relacionadas con afectación de la confidencialidad
Garantizar la integridad de la información de la empresa, que la misma sea precisa y completa.
Implementar planes de acción para tratamiento de incidentes de seguridad de la información y no conformidades relacionadas con afectación de la integridad
Asegurar la disponibilidad de la información cuando se necesite, para asegurar la continuidad de los procesos.
Implementar planes de acción para tratamiento de incidentes de seguridad de la información y no conformidades relacionadas con afectación de la disponibilidad.
Promover en sus colaboradores el conocimiento de dicha Política de Seguridad de la Información, así como la importancia de su contribución a la eficacia del SGSI.
Difundir el Sistema de Seguridad de la Información por medio de la ejecución de un Plan de difusión anual.
Capacitar en Seguridad de la Información por medio de la ejecución de un Plan de capacitación anual.